Il Google Threat Intelligence Group (GTIG) ha appena scoperto una nuova catena di exploit che colpisce prevalentemente gli iPhone di Apple. Arriva a poche settimane dalla scoperta di Coruna, un attacco simile che sfruttava vulnerabilità multiple di iOS per compromettere dispositivi con versioni obsolete del sistema operativo. E il messaggio, ancora una volta, è lo stesso: aggiornare è fondamentale.
Da Coruna a DarkSword: cosa sta succedendo a mondo iPhone
Qualche settimana fa, Google e iVerify avevano pubblicato due report complementari sull’exploit Coruna, che concatenava diverse falle di iOS per prendere il controllo di iPhone con software non aggiornato. Apple aveva risposto rilasciando aggiornamenti per iOS 16.7.15, iOS 15.8.7 e le rispettive versioni di iPadOS, correggendo vulnerabilità a livello di kernel e WebKit.
Oggi però la situazione si è fatta più complessa. Apple ha pubblicato un nuovo documento di supporto intitolato “Update iOS to protect your iPhone from web attacks”, in cui spiega che alcuni ricercatori di sicurezza hanno identificato attacchi basati sul web che prendono di mira versioni non aggiornate di iOS attraverso contenuti web malevoli. Chi ha già aggiornato il proprio iPhone alle ultime versioni disponibili, da iOS 15 fino a iOS 26, risulta già protetto. Per chi invece utilizza iOS 13 o iOS 14, è necessario passare almeno a iOS 15 per ricevere le patch di sicurezza. Apple ha anche precisato che Safe Browsing in Safari è attivo di default e blocca i domini malevoli identificati in questi attacchi.
DarkSword: ecco chi si nasconde dietro e come funziona
Il punto è che quel documento di Apple non si riferisce solo a Coruna. Secondo il GTIG, esiste un’altra catena di exploit chiamata appunto DarkSword, e il quadro è piuttosto preoccupante. Google ha rilevato che “diversi fornitori di sorveglianza commerciale e attori presumibilmente sponsorizzati da stati” stanno utilizzando DarkSword in campagne distinte. I bersagli finora identificati si trovano in Arabia Saudita, Turchia, Malesia e Ucraina.
Dal punto di vista tecnico, DarkSword funziona in modo molto simile a Coruna. Concatena più vulnerabilità per arrivare a una compromissione completa a livello kernel. Viene distribuito tramite siti web compromessi o esca, attraversando diverse fasi prima di rilasciare payload come GHOSTBLADE, GHOSTKNIFE e GHOSTSABER.
Le CVE associate a DarkSword includono sei vulnerabilità, alcune delle quali corrette già in iOS 18.6 e 18.7.2, altre in iOS 26.1, 26.2 e 26.3. Questo significa che chi ha mantenuto il proprio dispositivo aggiornato nel corso dei mesi è già al sicuro da tempo.
Come proteggere il proprio iPhone
Per chi utilizza dispositivi più vecchi che non possono essere aggiornati alle ultime versioni di iOS, Apple suggerisce di valutare l’attivazione della Modalità Lockdown (dove disponibile) come ulteriore livello di protezione contro contenuti web malevoli. Il report completo del GTIG è stato pubblicato in coordinamento con Lookout e iVerify, che hanno condiviso a loro volta i propri risultati tecnici con dettagli aggiuntivi sulle campagne DarkSword osservate fino a questo momento.
